Política de Segurança da Informação – Trakto

Última atualização: Janeiro/2025

Classificação: Pública

1. Introdução

A Trakto tem como missão fornecer soluções tecnológicas seguras, modernas e de alta qualidade. Reconhecemos que a informação é um dos nossos ativos mais valiosos, e por isso adotamos controles, processos e práticas alinhadas às melhores referências internacionais de segurança.
Nossa Política de Segurança da Informação (PSI) reflete nosso compromisso com a proteção de dados, privacidade, transparência e continuidade dos negócios.

2. Propósito

Esta política tem como objetivos:
‍
- Definir princípios e diretrizes de segurança da informação aplicáveis a toda a empresa.
- Demonstrar ao mercado nosso compromisso com proteção de dados e práticas seguras.
- Estabelecer responsabilidades e boas práticas para colaboradores, parceiros e terceiros.
- Garantir conformidade com a Lei Geral de Proteção de Dados (LGPD) e demais normas aplicáveis.
- Fortalecer a segurança de nossos produtos, APIs, sistemas internos e infraestrutura.

3. Escopo

Esta política se aplica a:

- Todos os colaboradores, parceiros, fornecedores e terceiros autorizados.
- Todas as plataformas, sistemas, APIs e processos operados pela empresa.
- Informações e dados produzidos ou tratados no contexto de nossos serviços.
- Ambientes internos, nuvem, dispositivos corporativos e ativos tecnológicos.

4. Princípios de Segurança da Informação

Adotamos práticas baseadas nos pilares clássicos da segurança da informação:

4.1 Confidencialidade

A informação é acessada apenas por pessoas autorizadas.

4.2 Integridade

A informação permanece íntegra, correta e não é alterada indevidamente.

4.3 Disponibilidade

As informações e serviços devem estar acessíveis sempre que necessários.

4.4 Legalidade

Cumprimos todas as leis e regulamentações aplicáveis, incluindo a LGPD.

4.5 Transparência

Mantemos canais claros de comunicação sobre o uso e a proteção de dados.

5. Infraestrutura Certificada e Confiável

Para garantir segurança, desempenho e confiabilidade, todos os serviços da Trakto operam sobre a infraestrutura do Google Cloud Platform (GCP) e utilizam o Google Workspace para comunicação e gestão interna.
Essas plataformas contam com certificações internacionais de segurança e privacidade, amplamente reconhecidas no mercado.

✔ Certificações do Google Cloud Platform

ISO/IEC 27001 — Gestão de Segurança da Informação
ISO/IEC 27017 — Segurança para Serviços em Nuvem
ISO/IEC 27018 — Proteção de Dados Pessoais em Cloud
SOC 1, SOC 2 e SOC 3
PCI DSS (para serviços elegíveis)
FedRAMP (componentes aplicáveis)

✔ Certificações do Google Workspace

ISO/IEC 27001
ISO/IEC 27018
SOC 2 Tipo II
Controles avançados de criptografia, auditoria e DLP
Conformidade com requisitos da LGPD

Declaração Importante

As certificações acima pertencem às plataformas Google Cloud e Google Workspace.
A Trakto opera seus serviços nessas plataformas, garantindo que os dados trafeguem e sejam armazenados em ambientes com padrões internacionais de segurança.

6. Diretrizes Gerais de Segurança

6.1 Cultura de Segurança

Promovemos treinamento contínuo e ações de conscientização em segurança e privacidade.

6.2 Gestão de Acessos

- Acesso concedido conforme necessidade e papel (princípio do menor privilégio).
- Autenticação forte (MFA) em sistemas críticos e administrativos.
- Revisões periódicas de permissões.

6.3 Proteção de Dados

- Dados criptografados em repouso e em trânsito.
- Controles de rotulagem e classificação conforme sensibilidade.
- Monitoração contínua de logs e atividades relevantes.

6.4 Desenvolvimento Seguro

Adotamos práticas de Secure Software Development Lifecycle (SSDLC):
- Análise de vulnerabilidades.
- Testes de segurança
- Revisões de código
- Pentests em APIs e sistemas.

6.5 Continuidade de Negócios

Mantemos planos de recuperação e contingência, garantindo operação mesmo em eventos adversos.

7. Uso de Sistemas e Recursos Tecnológicos

A utilização dos recursos internos (Google Workspace, sistemas internos, ferramentas de trabalho e infraestrutura em nuvem) segue normas como:

- Acesso remoto seguro (VPN, MFA).
- Uso aceitável de dispositivos e ativos corporativos.
- Proibição de uso indevido, armazenamento de conteúdo ilegal ou violação de direitos autorais.
- Notificação imediata em caso de perda de dispositivo, incidente ou acesso suspeito.

8. Privacidade e Proteção de Dados (LGPD)

8.1 Base legal

Todos os dados pessoais são tratados conforme bases legais previstas na LGPD.

8.2 Princípios

Seguimos os princípios de:

- Finalidade
- Necessidade
- Adequação
- Transparência
- Segurança
- Prevenção.

8.3 Direitos dos titulares

Os titulares podem solicitar:

-Confirmação de tratamento
- Acesso
- Correção
- Anonimização
- Portabilidade
- Revogação de consentimento.

Solicitações devem ser enviadas ao DPO (contato ao final do documento).

9. Gestão de Incidentes de Segurança

Mantemos procedimentos formais para:
- Identificação e registro de incidentes
- Contenção
- Análise e tratamento
- Comunicação apropriada, incluindo órgãos reguladores quando aplicável.

Incidentes envolvendo dados pessoais são tratados conforme a LGPD.

10. Política de Não Retaliação

Qualquer colaborador, cliente ou parceiro pode reportar preocupações, violações, comportamentos suspeitos ou incidentes sem risco de retaliação.
Mantemos canais de denúncia seguros e confidenciais.

11. Responsabilidades

11.1 Da Empresa

- Proteger os ativos de informação.
- Implementar controles técnicos e administrativos.
- Tratar incidentes e riscos de forma transparente.

11.2 Dos Colaboradores

- Cumprir esta política e demais normas internas.
- Manter sigilo sobre informações confidenciais.
- Reportar imediatamente qualquer incidente ou suspeita.

11.3 De Terceiros

- Respeitar contratos e obrigações de segurança.
- Adotar padrões equivalentes aos exigidos pela empresa.

12. Revisões e Atualizações da Política

Esta política é revisada ao menos uma vez por ano, ou sempre que houver mudanças significativas no ambiente tecnológico, regulatório ou operacional.

13. Contato do Encarregado de Dados (DPO)

Para dúvidas, solicitações de titulares ou questões relacionadas à privacidade:
‍
E-mail: dpo@trakto.io
Canal de Segurança: security@trakto.io

14. Glossário

Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
Tratamento: qualquer operação com dados pessoais.
Incidente de segurança: evento que compromete confidencialidade, integridade ou disponibilidade.
Criptografia: técnica que impede acesso indevido a informações.
LGPD: Lei Geral de Proteção de Dados (Lei 13.709/2018).
MFA: autenticação de múltiplos fatores.

15. Vigência

Esta política entra em vigor na data de sua publicação e permanece válida até sua próxima revisão.